LOTUS DOMINO 7 Uycie certyfikatów niekwalifikowanych w oprogramowaniu LOTUS DOMINO 7 serwer WWW / pocztowy wersja 1.1
Spis treci 1. TWORZENIE CERTYFIKATU DLA ADRESU JEDNOZNACZNEGO... 3 1.1. TWORZENIE PLIKU KEY RING... 3 1.2. TWORZENIE DANIA CERTYFIKATU (CSR)... 7 1.3. TWORZENIE CERTYFIKATU NA PODSTAWIE WYGENEROWANEGO DANIA (CSR)... 9 1.4. POBIERANIE CERTYFIKATU CERTUM CA I CERTYFIKATÓW POREDNICH... 10 1.5. INSTALOWANIE CERTYFIKATU CERTUM CA I CERTYFIKATÓW POREDNICH... 11 1.6. POBIERANIE I INSTALOWANIE CERTYFIKATU SERWERA... 14 2. TWORZENIE CERTYFIKATU DLA ADRESÓW WIELOZNACZNYCH... 17 3. KONFIGUROWANIE SERWERA DO POŁCZE HTTPS... 17 4. KONFIGUROWANIE SERWERA DO OBSŁUGI WITRYN WIRTUALNYCH... 19
1. Tworzenie certyfikatu dla adresu jednoznacznego 1.1. Tworzenie pliku Key Ring Uruchamiamy program Domino Admin i otwieramy baz certsrv.nsf. Dokonamy tego przez uycie kombinacji klawiszy CTRL + o (i wskazanie odpowiedniej bazy) lub wchodzc w menu: file -> Database -> Open... : Z okienka Server wskazujemy serwer, dla którego generujemy klucze: 3
i otwieramy baz certsrv.nsf (Server Certificate Admin): W otwartym Menu w lewym panelu wybieramy Create Key Rings & Certificate, po czym w głównym oknie wchodzimy w Create Key Ring (co rozpocznie proces certyfikacji): 4
W polu Key Ring Information wprowadzamy nazw pliku klucza Key Ring (domylnie keyfile.kyr) oraz hasło, które zabezpieczy tene plik z kluczami (musi by odpowiednio silne!!!): Zmieniamy wielko klucza z 512 do zalecanej 1024-bitowej długoci: Uzupełniamy pola z informacjami o naszym certyfikacie. Country (C) - dwuliterowy symbol kraju (PL). Naley uy kodu ISO, np. poprawnym kodem Polski jest PL (due litery), a nie pl czy RP. State / Province (ST) - nazwa województwa, np.: Zachodniopomorskie. Nie naley stosowa skrótów. City or Locality (L) - nazwa miasta lub wsi, np.: Szczecin, Kozia Wolka, Warszawa. Organization Name (O) - pełna nazwa swojej organizacji / firmy, np.: Moja Firma Organizational Unit (OU) - jeeli zachodzi taka potrzeba, mona wypełni to pole, wstawiajc nazw działu np. Oddzial w Moja Firma Common Name (CN) - bardzo wane pole! Musi si tutaj znale pełna nazwa DNS (fqdn) serwera np.: www.mojserwer.pl, mojadomena.plm *.mojserwer.pl. UWAGA: Uywanie znaków specjalnych % ^ $ _ lub polskich znaków diakrytycznych: Ł przy podawaniu tych informacji spowoduje nieprawidłowe wygenerowanie certyfikatu!!! 5
Po podaniu tych informacji klikamy Create Key Ring: Kreator poinformuje nas o pomylnym wygenerowaniu Key Ring: 6
1.2. Tworzenie dania certyfikatu (CSR) Aby utworzy danie certyfikatu, z głównego Menu wybieramy Create Certificate Request: Wskazujemy plik z kluczem Key Ring oraz metod wysłania dania do CERTUM (wkleimy j rcznie) oraz klikamy Create Certificate Request: 7
Wpisujemy hasło zabezpieczajce klucz prywatny: Ujrzymy nasze danie w formacie PKSC - zapiszmy je na dysku. CSR powinno mie posta podobn do poniszej. UWAGA: W celu wklejania certyfikatu do pliku naley skopiowa fragment tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--", uywajc do tego celu edytora tekstowego np. Notepad i myszki. Nie naley uywa do tej operacji Worda, czy innego procesora tekstowego! 8
1.3. Tworzenie certyfikatu na podstawie wygenerowanego dania (CSR) Majc wygenerowane danie wypełniamy formularz zgłoszeniowy i wklejamy CSR na stronie CERTUM (www.certum.pl -> Oferta -> Certyfikaty niekwalifikowane -> Zabezpieczanie serwerów -> Serwery WWW -> wybieramy, który certyfikat chcemy kupi i na dole strony wybieramy Kup certyfikat). UWAGA: W celu wklejania certyfikatu na stronie naley skopiowa fragment tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--" (razem z tymi liniami!!!), uywajc do tego celu edytora tekstowego. Upewniamy si, e w polu E-mail jest wpisany poprawny adres (na ten adres zostan wysłane dalsze instrukcje), oraz, e zaznaczylimy pole Potwierdzam Owiadczenie i klikamy Dalej. Pojawi si strona, na której moemy si upewni, e nasze danie CSR zostało wygenerowane na prawidłowe dane. Uwaga: Naley si upewni, e w polu podmiot jest wpisana poprawna nazwa naszej strony (jesli kupujemy certyfikat na domen www.mojastrona.com upewnijmy si, e ta nazwa widnieje w tym polu)!!! 9
Upewniwszy si, co do poprawnoci wprowadzonych danych klikamy Dalej: Pojawi si okno z informacj o wymaganych dokumentach niezbdnych do zakoczenia procesu uzyskania certyfikatu. 1.4. Pobieranie certyfikatu Certum CA i certyfikatów porednich Aby pobra certyfikat Certum CA lub certyfikaty porednie naley wej na stron www.certum.pl do działu Obsługa certyfikatów Zawiadczenia i klucze. Po wybraniu certyfikatu naley wybra opcj Certyfikat dla serwerów WWW. Wywietli si interesujcy nas certyfikat, który zaznaczymy myszk, wkleimy do pliku i zapiszemy. UWAGA: W celu wklejania do pliku certyfikatu prezentowanego na stronie naley skopiowa fragment tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--", uywajc do tego celu edytora tekstowego np. Notepad i myszki. Nie naley uywa do tej operacji Worda, czy innego procesora tekstowego! W przypadku pobierania certyfikatów porednich, wybieramy interesujcy nas certyfikat, np. CERTUM Level IV z listy (Certyfikaty Level IV naley pobra w przypadku, gdy posiadamy certyfikat typu Trusted, certyfikat poziomu III naley pobra w sytuacji, gdy posiadamy certyfikat typu Enterprise / Wildcard, certyfikat poziomu II naley pobra w sytuacji, gdy posiadamy certyfikat typu Commercial; dla certyfikatów typu Private pobierany jest certyfikat klasy I). Pozostała cz procesu (zapisanie do pliku) przebiega jak dla certyfikatu Certum CA. 10
1.5. Instalowanie certyfikatu Certum CA i certyfikatów porednich Aby zainstalowa główny certyfikat Certum CA lub certyfikaty porednie (Certum Level I-IV) naley z głównego Menu wybra Install Trusted Root Certificate into Key Ring: W polu Certificate Label wpisujemy nazw certyfikatu. Jeeli instalujemy certyfikat Certum CA, wpisujemy: Certum CA. Po zainstalowaniu tego klucza, powtórzymy cał procedur dla właciwego certyfikatu poredniego. W pole Certificate Label wpiszemy wtedy np.: Certum Level IV lub Certum Level III Wybierz metod importu certyfikatu w przypadku opcji Clipboard certyfikat naley wklei w pole Certificate from Clipboard; w przypadku wyboru opcji File, naley wskaza lokalizacj pliku z certyfikatem. Po wypełnieniu powyszych klikamy Merge Trusted Root Certificate Into Key Ring. UWAGA: W celu wklejania certyfikatu naley skopiowa fragment tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--", uywajc do tego celu edytora tekstowego np. Notepad i myszki. Nie naley uywa do tej operacji Worda, czy innego procesora tekstowego! 11
Kreator poprosi o hasło zabezpieczajce nasz klucz keyfile.kyr: Kreator potwierdza dane certyfikatu: I informuje o pomylnym zaimportowaniu certyfikatu: 12
W przypadku importowania certyfikatu poredniego zmiany dotycz jedynie innej nazwy certyfikatu (pole Certificate Label) oraz innej zawartoci samego certyfikatu, wskazywanego z pliku lub wklejanego ze schowka (Clipboard): Po instalacji certyfikatów, moemy sprawdzi ich poprawne dodanie do listy zaufanych urzdów. W tym celu z lewego panelu z głównego Menu wybieramy View & Edit Key Rings: 13
Wybieramy opcj Select Key Ring to Display: Podajemy nazw pliku Key Ring: I hasło zabezpieczajce: Wywietlony ekran pozwala sprawdzi poprawno procesu (poniej: certyfikaty Certum CA i Certum Level I poprawnie dodane do listy zaufanych urzdów certyfikacji). 1.6. Pobieranie i instalowanie certyfikatu serwera Aby zainstalowa certyfikat na serwera naley koniecznie zakoczy czynnoci opisane powyej. Po wykonaniu powyszych czynnoci moemy wej na stron, której adres otrzymalimy poczt elektroniczn i aktywowa certyfikat (umieci certyfikat w naszym repozytorium dostpnym na stronach www): 14
Wchodzimy na stron, wklejamy ID i aktywujemy certyfikat klikajc Dalej: Pojawi si okno ze szczegółami naszego certyfikatu: Kopiujemy numer naszego certyfikatu, wchodzimy na stron https://www.certum.pl/services/search.html i w polu Nr seryjny: wpisujemy numer naszego certyfikatu: Pojawi si strona, z której bdziemy mogli cign nasz certyfikat w formie binarnej lub tekstowej. Klikamy w Zapisz tekstowo: 15
Po zapisaniu pliku z certyfikatem naley z głównego menu wybra opcj Install Certificate into Key Ring, wskaza plik klucza Key Ring (najlepiej jego dokładn ciek) oraz plik, w którym zapisalimy certyfikat naszego serwera. Wpisujemy hasło zabezpieczajce plik z kluczem keyfile.kyr: Kreator wywietli podsumowanie wykonanej operacji. 16
Kreator poinformuje nas o pomylnym wykonaniu instalacji certyfikatu na serwerze: 2. Tworzenie certyfikatu dla adresów wieloznacznych W przypadku tworzenia certyfikatów dla adresów wieloznacznych (np. *.mojafirma.pl), naley wykona procedur analogiczn jak opisana powyej (dla adresów jednoznacznych). Naley jednake pamita, aby przy wypełnianiu danych Key Ring wpisa odpowiedni nazw serwera. 3. Konfigurowanie serwera do połcze https W celu skonfigurowania serwera Lotus Domino do połcze https naley w panelu Configuration rozwin zakładk Server i wej w All Server Documents. Klikamy na dokumentacj serwera i edytujemy j przy pomocy Edit Server: LOTUS DOMINO 7 Tworzenie certyfikatu dla adresów wieloznacznych 17
W zakładce Ports wybieramy Internet Ports: W przypadku serwera WWW, w zakładce Web zmieniamy wartoci dwóch pól: SSL port status zaznaczamy Enabled. Spowoduje uruchomienie demona serwera dla połcze szyfrowanych. TCP/IP port status jeeli chcemy wymusi sesj szyfrowan zaznaczamy opcj Redirect to SSL. Zaznaczenie tej powoduje przełczenie komunikacji na połczenie bezpieczne (https), niezalenie od sposobu nawizania połczenia klienta z serwerem. Opcja Enabled powoduje nasłuchiwanie serwera i na porcie dla połcze zwykłych http i szyfrowanych https. Z kolei opcja Disabled odrzuca wszelkie próby nawizania połczenia przez połczenie zwykłe. W przypadku serwera pocztowego, zmian dokonujemy w zakładce Mail. W zalenoci od konfiguracji serwera pocztowego, połczenia SSL moemy aktywowa dla konkretnych protokołów. W tym celu pole SSL port status danego protokołu naley zmieni Disabled na Enabled. W tym momencie demon pocztowy nasłuchiwał bdzie zarówno na porcie szyfrowanym jak i nieszyfrowanym. Aby wymusi sesje tylko i wyłcznie tunelowane, naley zmieni warto pola TCP/IP port status, na Redirect to SSL. LOTUS DOMINO 7 Konfigurowanie serwera do połcze https 18
W obu przypadkach, w celu zapamitania zmian restartujemy serwer z poziomu konsoli: restart server haslo_do_servera 4. Konfigurowanie serwera do obsługi witryn wirtualnych W celu skonfigurowania serwera Lotus Domino do obsługi wielu witryn wirtualnych w otoczeniu SSL naley w panelu Configuration rozwin zakładk Server i wybra opcj All Server Documents. Ze rodkowego Menu rozwijamy zakładk Web... i chodzimy w Create Virtual Server: Do wyboru s dwie opcje. Jeeli wirtualny serwer znajduje si na lokalnej maszynie naley wybra Virtual Host. W przypadku, gdy wirtualna witryna znajduje si poza lokalnym hostem naley wybra Virtual Server: LOTUS DOMINO 7 Konfigurowanie serwera do obsługi witryn wirtualnych 19
Wpisujemy adres IP hosta, na którym znajduje si wirtualna witryna (w przypadku gdy jest to lokalny host wpisujemy 127.0.0.1). W polu Hostname wprowadzimy DNS naszego serwera: Przełczamy si na ssiedni zakładk Mapping. Wpisujemy nazw pliku, który domylnie bdzie wywietlany po połczeniu z serwerem. Wskazujemy katalog, w którym znajduje si ten plik. Czynnoci powysze powtarzamy dla kadej poddomeny: poddomena1, poddomena2 itp. Nie zapomnij zapisa zmian Save&Close oraz zrestartowa serwer z poziomu konsoli poleceniem: tell http restart. LOTUS DOMINO 7 Konfigurowanie serwera do obsługi witryn wirtualnych 20